D0nut Ransomware

D0nut Ransomware -uhka käyttää murtumatonta salausalgoritmia tehdäkseen uhrien datasta täysin käyttökelvottomia. Tiedostot, kuten asiakirjat, kuvat, valokuvat, arkistot, tietokannat ja monet muut, lukitaan tehokkaasti, ja niiden palauttaminen tietämättä oikeita salauksenpurkuavaimia on käytännössä mahdotonta. D0nut Ransomwaresta vastaavat uhkatekijät ovat taloudellisesti motivoituneita ja yrittävät kiristää rahaa käyttäjiltä tai organisaatioilta, joita he rikkovat onnistuneesti.

Uhan uhrit huomaavat, että kaikki tiedostot, joita asia koskee, on merkitty .d0nutilla niiden alkuperäisiin nimiin uutena tiedostopäätteenä. Uhka pudottaa kolme lunnaita tartunnan saaneisiin järjestelmiin. Kaksi lunnaita vaativista viesteistä toimitetaan tiedostoina nimeltä 'd0nut.html', kun taas ponnahdusikkunassa näytetään erilaiset ohjeet.

Molemmat HTML-tiedostot sisältävät lähes identtiset ohjeet. Ilmeisesti hakkerit antavat uhreilleen 96 tuntia aikaa ottaa yhteyttä ennen kuin he lisäävät lunnaita, joita he vaativat lukittujen tietojen palauttamisesta. Lisäksi hakkerit ilmoittavat, että he voivat purkaa ilmaiseksi enintään 2 tiedostoa, joiden kokonaiskoko on alle 2 Mt ja jotka eivät sisällä tärkeitä tietoja. Lunnaita koskevassa huomautuksessa mainitaan kaksi viestintäkanavaa - Tox-chat-asiakasohjelman käyttö tai TOR-verkossa isännöidyllä verkkosivustolla käyminen.

HTML-tiedostoina toimitettavat ohjeet ovat samanlaisia:

"Microsoft Windows [versio 0.0.31337.0.0]
(c) Microsoft Corporation. Kaikki oikeudet pidätetään.

C:\Users\Administrator> powershell Get-EventLog Security
C:\Users\Administrator> Error..

Ei niin kauan sitten havaitsimme vakavan ongelman verkossasi ja päätimme auttaa sinua. Mitä tapahtui?
Kaikki tiedostot on salattu integroidulla salausjärjestelmällä.
Tiedostorakenne ei vaurioitunut. Sinulle on määritetty yksilöllinen tunniste. Tartunnan jälkeen sinulla on 96 tuntia aikaa ilmoittaa salauksen purkamisesta. Kun 96 tuntia on kulunut, salauksen purkukustannukset nousevat automaattisesti.
Nyt sinun tulee lähettää meille viesti henkilötunnuksellasi, joka on viestin alareunassa. Toivomme, että ymmärrät tekemämme työn tärkeyden, jos haavoittuvuuden havaitsi joku muu, on mahdollista, että hyökkäys voi olla paljon herkempi kuin tavanomainen meille maksettava työstä maksettava raha.
Ennen maksamista voit lähettää meille 2 tiedostoa ilmaista salauksen purkamista varten. Tiedostojen kokonaiskoon tulee olla alle 1 Mt (ei arkistoitu), eivätkä tiedostot saa sisältää arvokasta tietoa (tietokantoja, varmuuskopioita, suuria excel-tiedostoja).
Huomio! Jos haluat PALAUTTA TIETOSI ilman ongelmia - ÄLÄ KOSKAAN käynnistä uudelleen, irrota kiintolevyjä tai tee mitään, ellet tiedä MITÄ teet!!!
Muuten emme voi olla 100% varmoja siitä, että salauksenpurkuohjelma toimii oikein.
TÄMÄ LIITTYY ERITYISESTI ESXI:hen!!!
Jos yrität käyttää kolmannen osapuolen ohjelmistoja tietojen palauttamiseen tai virustorjuntaratkaisuihin - tämä voi johtaa kaikkien tiedostojen täydelliseen vaurioitumiseen ja niiden peruuttamattomaan menettämiseen, koska niitä ei enää voida palauttaa. Kaikki muutokset salattuihin tiedostoihin voivat aiheuttaa yksityisen avaimen vaurioitumisen ja sen seurauksena kaikkien tietojen menetyksen.
henkilötunnuksesi: F3AA226DACCDA0EF
Käyttäjätunnus ja salasana ovat samat kuin yllä. Koska käytämme SSL(https)-salausta sekä .onion-salausta, varmennetta ei ole allekirjoitettu kunnolla, muuten palvelimemme IP-osoite olisi kaikkien nähtävissä. Joten päästäksesi keskusteluun, sinun on vahvistettava suojattoman yhteyden poikkeus. Kiitos ymmärryksestä.
Voit ladata TOX:n täältä > hxxps://tox.chat/download.html
Voit myös kirjoittaa TOR-verkossa sijaitsevaan chattiin osoitteessa:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yelavj7n5i5dn7pgpcwxwfid.onion
Voit ladata TOR-selaimen täältä > hxxps://www.torproject.org/download/
meidän TOX alla >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Kaikkea hyvää ja hyvää mieltä, toivottavasti luit tämän viestin huolellisesti ja tiedät jo mitä tehdä XDXD'

Ponnahdusikkunassa näkyi seuraava lunnaat:

HUOMIO!!! Järjestelmä on lukittu.

'Kaikki tiedot on jo salattu. Tappioiden välttämiseksi suosittelemme, että luet ohjeet huolellisesti.

Henkilötunnuksesi: -
Se on myös salasana chattiin pääsemiseksi.

Paina OK-painiketta ladataksesi chat-sovelluksen, josta saat lisätukea.

HUOMIO: hxxps://transfer.sh ei saa olla estoluettelossa.

Onnea
[OK]'